Komplett ohne Kennwortschutz stehen sie im Internet – nun wird mit Datenbanken Lösegeld erpresst! Das Vorgehen war bei ca. 1.800 Datenbanken, die unter MongoDB laufen, immer gleich. Eingeloggt – gespeichert und überschrieben. Die ersten Nachahmer sind bereits unterwegs.
Betroffene sind selber Schuld – das nötige Wissen fehlt!
Schon öfter wurde über ungesicherte MongoDBs berichtet. Häufig betroffen von Schwachstellen sind MongoDB-Installationen auf Cloud-Hosting-Diensten. Durch die Installation fertiger Images, welche seit längerer Zeit nicht gewartet worden sind, holt man sich die Schwachstelle an Bord. Immerhin 78% der betroffenen Installationen liefen mit Versionen, über die Schwachstellen bereits bekannt sind und als angreifbar gelten.
Was Betroffene tun können – wie präventiv gehandelt werden kann!
In einigen Fällen wird ein automatisches BackUp von Datenbanken abgelegt. Sobald man Opfer von Ransomware wird, lohnt es sich die Sicherung zurückzuspielen. Die Lösegeldzahlung lässt sich so umgehen.
Open MongoDB = Money 4 bad ppl – part 3 – 221 victims
Actor: 0704341626asdf – BTC: 18eUPJLM79zdXKYWZSzT29fBQScFwU81VR
with a 2 day deadline pic.twitter.com/bxJc0Swwk3— Victor Gevers (@0xDUDE) January 5, 2017
MongoDB stellt außerdem eine Security CheckListe1 zur Verfügung. Admins können sich mit den Informationen dort schlau machen, wie sich eine MongoDB-Installation absichern lässt. Doch auch der generelle Hinweis, die Serversoftware stets aktuell zu halten, wird offensichtlich selten nachgekommen.
Wie wurden die Datenbanken im Internet gefunden?
Die Suchmaschine Shodan ist hier das Werkzeug erster Wahl. Hier werden nicht Links zu anderen Websites gesammelt, sondern Geräte, welche offen im Internet stehen. Dazu zählen neben IP-Kameras auch Datenbanken.
Der Shodan-Gründer John Matherly hat auf Twitter bekanntgegeben, dass der Datenbankname „WARNING“ bereits auf Platz 4 gelandet ist. So werden Datenbanken umbenannt, die von einem Angriff betroffen sind. Häufigere Namen für Datenbanken sind nur noch „local“, „admin“ und „test“.
There are 3 ransomware campaigns on-going based on the most popular MongoDB database names. The original campaign is up from ~2,000 to 8,542 pic.twitter.com/Df1YHV7LZ6
— John Matherly (@achillean) January 5, 2017
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Mit Datenbanken Lösegeld erpressen – meine Meinung!
Die erste Welle der Erpressungen fordert noch moderate 0,2 Bitcoins. Das sind zum aktuellen Zeitpunkt ca. 210€. Dienste vom Netz zu nehmen, um eine Datenbank zurückzuspielen kostet häufig mehr Personalkosten. Aus diesem Grund bezahlen wohl einige Betroffene die Summe und fahren fort.
Die ersten Nachahmer sind jedoch unterwegs. Diese fordern bereits 0,5 Bitcoins. Wahrscheinlich bleibt es nicht dabei. Es sollte daher überprüft werden, ob die eigene MongoDB abgesichert ist. Außerdem sollten nicht nur zwingend BackUps angelegt werden, sondern auch regelmäßig getestet werden.
Weitere Informationen und Quellen
[1] Hacker kapern über 1.800 Datenbanken und fordern Lösegeld (Golem)
[2] MongoDB Security Manual
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
